|
SDBOT.AR troyano/backdoor de IRC ejecuta acciones destructivas ocasiona ataques DoS, infecta PE, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Sdbot.AR, SdBot.AR/IRC
|
|
Sdbot.AR es un destructivo troyano/backdoor reportado el 09 de Junio del 2005, que se propaga a través de un canal del IRC
(Internet Chat Relay). Infecta con un archivo scvhost.exe ocasiona un serie de acciones nocivas y destructivas.
Descarga y ejecuta archivos con códigos malignos, envía el troyano a otros canales Chat, rastrea puertos TCP en determinadas IP, ocasiona ataques DoS a una determinada dirección IP asignada por el intruso, ejecuta ataques DoS, se actualiza o desinstala a
sí mismo, etc.
|
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++ con 56 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de scvhost.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Configuration Loader" = "%System%\scvhost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Configuration Loader" = "%System%\scvhost.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.
Al siguiente re-inicio termina los siguientes procesos si estuviesen activados:
- msblast.exe
- penis32.exe
- mspatch.exe
- winppr32.exe
- dllhost.exe
- gtftpd.exe
Actuando como Backdoor se conecta a un servidor IRC (Internet Chat Relay) cifrado dentro de su código desde
donde recibirá comandos en forma remota del intruso pudiendo ejecutar las siguientes acciones:
- Descargar y ejecutar archivos con códigos malignos.
- Administrar la instalación del troyano.
- Actualizar la versión del troyano.
- Controlar al cliente IRC del sistema atacado.
- Enviar el troyano a otros canales Chat.
- Ejecutar un rastreo de puertos a determinadas direcciones IP.
- Ejecutar un ataque de Negación de Servicios (DoS) a una dirección IP determinada por el intruso.
- Actuar como un Proxy con o sin soporte SSL.
- Desinstalarse a sí mismo removiendo sus llaves de registro generadas.
Rastrea archivos PE (Portables Ejecutables) de la carpeta %System% en las siguientes llaves y sobre escribe su código viral:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
PER ANTIVIRUS® versión 9.3 con registro de virus al 09 de Junio del 2005 detecta y elimina
eficientemente este troyano/backdoor.
